陳 昊，李文立，陳立榮

大連理工大學(xué) 管理與經(jīng)濟(jì)學(xué)部，遼寧 大連 116023

組織控制與信息安全制度遵守：面子傾向的調(diào)節(jié)效應(yīng)

陳 昊，李文立，陳立榮

大連理工大學(xué) 管理與經(jīng)濟(jì)學(xué)部，遼寧 大連 116023

員工對(duì)于重要數(shù)據(jù)和計(jì)算機(jī)設(shè)備等信息資產(chǎn)的濫用和誤用成為組織信息安全的潛在威脅，越來(lái)越多的企業(yè)意識(shí)到單純依靠安全技術(shù)解決方案難以有效控制這些風(fēng)險(xiǎn)，如何通過(guò)有效的機(jī)制設(shè)計(jì)來(lái)規(guī)范和引導(dǎo)員工的信息安全行為顯得尤為重要。

從行為學(xué)視角，引入面子傾向探討中國(guó)組織員工的信息安全管理問(wèn)題。面子是中國(guó)人相對(duì)穩(wěn)定的人格特質(zhì)，相當(dāng)一部分人對(duì)面子得失十分看重，正是這種特殊的面子規(guī)范構(gòu)成了企業(yè)中面子管理的重要內(nèi)容。已有研究將面子看作是一種行為約束機(jī)制，然而在信息安全行為管理中，面子是否以及如何起作用尚未被探討。

整合威懾理論、獎(jiǎng)勵(lì)機(jī)制和面子需求理論，在組織控制機(jī)制框架下構(gòu)建研究模型，揭示基于獎(jiǎng)勵(lì)激勵(lì)和組織威懾的正式控制機(jī)制和基于面子需求的非正式控制機(jī)制在引導(dǎo)員工遵守信息安全制度中的關(guān)鍵性作用。研究模型圍繞員工遵守信息安全制度的意愿，重點(diǎn)解釋獎(jiǎng)懲機(jī)制的有效性、掙面子和護(hù)面子兩種面子傾向?qū)ψ袷匾庠傅淖饔靡约盎讵?jiǎng)懲的正式控制機(jī)制與基于面子需求的非正式控制機(jī)制之間的交互作用。

采用網(wǎng)絡(luò)問(wèn)卷調(diào)研法，依托專業(yè)的數(shù)據(jù)調(diào)研公司，將問(wèn)卷鏈接隨機(jī)推送給在實(shí)行了信息安全制度的企業(yè)中工作的正式員工。經(jīng)過(guò)3周的數(shù)據(jù)收集和篩選，最終獲取409份有效樣本，基于PLS的結(jié)構(gòu)方程和Smart PLS工具對(duì)研究模型進(jìn)行假設(shè)驗(yàn)證。

研究結(jié)果表明，感知到的獎(jiǎng)勵(lì)和感知到的懲罰對(duì)員工的信息安全制度遵守行為決策起控制作用，且獎(jiǎng)勵(lì)激勵(lì)的作用效果要優(yōu)于組織威懾；面子傾向引導(dǎo)員工遵守信息安全制度，掙面子傾向和護(hù)面子傾向?qū)φ娇刂茩C(jī)制與行為意愿間關(guān)系起負(fù)向調(diào)節(jié)作用。研究結(jié)果對(duì)中國(guó)情景下的信息安全行為管理提供了理論支撐和實(shí)踐指導(dǎo)。

掙面子傾向；護(hù)面子傾向；信息安全行為管理；組織控制；獎(jiǎng)懲機(jī)制

1 引言

近年來(lái)，信息安全事件的頻發(fā)使企業(yè)逐漸意識(shí)到信息安全管理的必要性。然而，企業(yè)過(guò)分依賴安全技術(shù)，忽視了員工對(duì)信息資產(chǎn)的濫用和誤用給信息安全帶來(lái)的隱患。組織員工的內(nèi)部威脅已經(jīng)成為信息安全事件的首要誘因[1]，企業(yè)通過(guò)規(guī)定員工在信息安全中的義務(wù)和職責(zé)[2]以及信息安全意識(shí)的培養(yǎng)和安全知識(shí)與技能的灌輸[3]等舉措規(guī)范員工的信息安全行為。但是員工在使用信息資產(chǎn)的過(guò)程中總會(huì)有意或無(wú)意地忽視信息安全制度的規(guī)定[4]，從而導(dǎo)致信息安全事件愈演愈烈，信息安全制度的貫徹實(shí)施需要構(gòu)建和完善相應(yīng)的控制體系。

組織威懾和獎(jiǎng)勵(lì)機(jī)制是組織控制體系的組成部分[5]。組織威懾通過(guò)懲罰增加違規(guī)成本，從而負(fù)向強(qiáng)化員工遵守信息安全制度。然而學(xué)術(shù)界對(duì)組織威懾的作用存有爭(zhēng)議[6]，組織威懾與信息安全行為之間的關(guān)聯(lián)有待進(jìn)一步驗(yàn)證[7-9]。獎(jiǎng)勵(lì)機(jī)制是激勵(lì)員工遵守信息安全制度的重要舉措，然而實(shí)證研究尚未發(fā)現(xiàn)兩者之間的關(guān)聯(lián)證據(jù)。此外，信息安全行為研究主要在西方社會(huì)情景下展開(kāi)，不同文化情景下的研究結(jié)論往往不同[10]。儒家文化情景下的員工思維模式和行為方式有其獨(dú)特性。面子是儒家文化在個(gè)體層面的重要表征，且基于面子的管理范式逐步為企業(yè)所探討和應(yīng)用[11-12]，面子機(jī)制對(duì)員工信息安全決策的影響作用尚未被探討和驗(yàn)證。

當(dāng)前中國(guó)信息安全研究主要從技術(shù)層面和法律層面開(kāi)展[13]，缺少基于管理學(xué)和行為學(xué)視角的實(shí)證支持[14]。本研究整合威懾理論、獎(jiǎng)勵(lì)機(jī)制和面子需求理論，在組織控制機(jī)制框架下構(gòu)建研究模型，并嘗試揭示面子傾向在獎(jiǎng)懲機(jī)制與信息安全行為決策關(guān)系中的調(diào)節(jié)作用，研究結(jié)論可為差別化管理中國(guó)員工的信息安全行為提供理論支撐和實(shí)際借鑒。

2 理論基礎(chǔ)和相關(guān)研究評(píng)述

2.1 威懾理論

犯罪學(xué)領(lǐng)域的威懾理論認(rèn)為個(gè)體是否從事犯罪活動(dòng)取決于對(duì)利弊得失的權(quán)衡，如果個(gè)體認(rèn)為從事某行為被懲罰的可能性較高，由此產(chǎn)生的后果的嚴(yán)重性程度較高，且受到懲罰的響應(yīng)及時(shí)，那么該行為會(huì)被判定為風(fēng)險(xiǎn)性行為。一旦從事該行為所產(chǎn)生的風(fēng)險(xiǎn)超過(guò)了其帶來(lái)的得益，人們會(huì)放棄實(shí)施該行為[15]，因?yàn)闆](méi)有人希望被懲罰[6]。

組織威懾是組織控制機(jī)制的重要組成部分[5,16]，它通過(guò)懲罰手段警示員工的錯(cuò)誤行為，從而負(fù)向強(qiáng)化員工遵守信息安全制度。而已有研究發(fā)現(xiàn)組織威懾并不總能有效地發(fā)揮作用[6]，SIPONEN et al.[17]認(rèn)為威懾對(duì)那些使用中和技術(shù)的員工失效，因?yàn)樗麄兩瞄L(zhǎng)以一些借口(如否認(rèn)責(zé)任、否認(rèn)受害者等)來(lái)合理化自己的行為，為違規(guī)行為開(kāi)脫以逃避懲罰；HU et al.[18]認(rèn)為威懾僅僅是一種成本，如果違規(guī)帶來(lái)的得益大于其成本，員工往往會(huì)參與到違規(guī)行為中，從而導(dǎo)致威懾機(jī)制形同虛設(shè)。因此，越來(lái)越多的研究開(kāi)始探討如何最大限度地發(fā)揮組織威懾對(duì)信息安全行為的引導(dǎo)作用。LIANG et al.[16]發(fā)現(xiàn)采取預(yù)防定向策略的員工更傾向于實(shí)施IT遵守行為以避免懲罰；LI et al.[19]和D′ARCY et al.[6]發(fā)現(xiàn)道德水平是組織威懾發(fā)揮作用的關(guān)鍵性調(diào)節(jié)變量。

2.2 獎(jiǎng)勵(lì)激勵(lì)

控制理論認(rèn)為通過(guò)獎(jiǎng)勵(lì)激勵(lì)可以引導(dǎo)員工實(shí)施組織期望的行為[5]。一般認(rèn)為，當(dāng)員工履行了角色內(nèi)行為或達(dá)到組織期望時(shí)，應(yīng)該獲得相應(yīng)的獎(jiǎng)勵(lì)[20]，包括獎(jiǎng)金、加薪、升職等[15]。獎(jiǎng)勵(lì)激勵(lì)的關(guān)鍵性作用在于加強(qiáng)政策的約束和控制力[21]，如果信息安全制度的制定沒(méi)有完善的獎(jiǎng)勵(lì)機(jī)制引導(dǎo)員工遵守，那么員工會(huì)認(rèn)為該政策缺乏實(shí)施的必要性。BULGURCU et al.[22]的研究證實(shí)獎(jiǎng)勵(lì)增加員工的收益認(rèn)知，對(duì)遵守信息安全制度態(tài)度的養(yǎng)成起正向促進(jìn)作用。

獎(jiǎng)勵(lì)機(jī)制對(duì)員工遵守信息安全制度的激勵(lì)作用已被實(shí)驗(yàn)研究所證實(shí)[5]，然而在實(shí)證研究中尚沒(méi)有揭示兩者之間的關(guān)系。已有研究認(rèn)為獎(jiǎng)勵(lì)實(shí)施的前提是員工在一定時(shí)期內(nèi)持續(xù)遵守信息安全制度，相比而言，員工往往會(huì)因偶爾一次的違規(guī)而受到處罰，從而使獎(jiǎng)勵(lì)化為泡影，因此，獎(jiǎng)勵(lì)的效果沒(méi)有威懾產(chǎn)生的作用強(qiáng)烈[16]。此外，遵守行為往往體現(xiàn)在一些瑣碎的具體工作中，如工作期間經(jīng)常鎖定計(jì)算機(jī)工作臺(tái)和防止共享密碼等，而這些工作很難通過(guò)有效的方式進(jìn)行一一核查，事實(shí)上企業(yè)往往也只是通過(guò)定期抽查監(jiān)控的方式進(jìn)行管理，這也就意味著很難為獎(jiǎng)勵(lì)的實(shí)施提供一定的參考標(biāo)準(zhǔn)。盡管如此，部分企業(yè)依然重視獎(jiǎng)勵(lì)激勵(lì)的積極性引導(dǎo)作用，如簡(jiǎn)伯特公司(Genpact)通過(guò)E-mail表?yè)P(yáng)信的方式對(duì)抽檢合格的員工進(jìn)行鼓勵(lì)，同時(shí)依據(jù)每月累計(jì)的抽檢達(dá)標(biāo)成績(jī)折算成積分用以兌換實(shí)物獎(jiǎng)勵(lì)等。此外，LIANG et al.[16]發(fā)現(xiàn)采取促進(jìn)定向策略的員工更看重實(shí)施IT遵守行為所帶來(lái)的利益，意味著獎(jiǎng)勵(lì)激勵(lì)作用效果的發(fā)揮與組織威懾類似，同樣受到一定條件的制約。本研究將探討?yīng)剟?lì)機(jī)制在信息安全行為決策中的作用以及其發(fā)揮作用的條件。

2.3 面子與面子需求理論

在中國(guó)，面子(face)是與精神信念有關(guān)的概念，如常說(shuō)的“人要臉樹(shù)要皮”“死要面子活受罪”等俗語(yǔ)從一個(gè)側(cè)面揭示了國(guó)人對(duì)面子的追求。胡先晉[23]最早對(duì)東西方文化情景下“面子”的概念進(jìn)行區(qū)分，認(rèn)為中國(guó)文化情景下的面子有兩個(gè)組成部分，即臉和面。臉與個(gè)人的道德特質(zhì)有關(guān)，被看作是一種強(qiáng)化道德準(zhǔn)繩的社會(huì)懲罰機(jī)制或自我懲罰機(jī)制，而面則代表了通過(guò)成功或賣(mài)弄所達(dá)成的個(gè)人對(duì)威望和聲譽(yù)的渴求。華人學(xué)者普遍認(rèn)為中國(guó)人的面子包含社會(huì)性面子和道德性面子兩個(gè)相輔相成的部分[24]。社會(huì)性面子反映了人們?cè)谏鐣?huì)關(guān)系中的他律性規(guī)范，與羞恥的概念相類似，如SIPONEN et al.[17]在探討員工的信息安全違規(guī)行為時(shí)引入了羞恥的概念；道德性面子與個(gè)人的道德特質(zhì)和贏得他人尊重相關(guān)，與罪這個(gè)概念聯(lián)系密切，體現(xiàn)了在社會(huì)交往中的自我控制力。華人學(xué)者一般認(rèn)為面子是一種人格特質(zhì)因素，而在西方情景下面子被看作是一種情景因素。GOFFMAN[25]首先將西方情景下的面子看作是一種積極的社會(huì)價(jià)值，即面子是借由他人認(rèn)可所產(chǎn)生的一種社會(huì)印象。顯然，西方情景下的面子旨在尋求社會(huì)性面子，而在中國(guó)情景下面子這一概念的內(nèi)涵更廣。

根據(jù)陳之昭[26]的觀點(diǎn)，本研究提出一個(gè)機(jī)制模型，探討面子在組織信息安全行為管理中的作用及其與組織正式控制機(jī)制的關(guān)系，見(jiàn)圖1。該金字塔模型由制度(正式控制機(jī)制)和面子(非正式控制機(jī)制)兩部分組成。在底層，強(qiáng)制性的信息安全制度是組織信息安全目標(biāo)實(shí)現(xiàn)的基礎(chǔ)。組織通過(guò)制定信息安全制度強(qiáng)制性地對(duì)員工的信息安全行為進(jìn)行控制和管理，員工必須在政策允許的范圍內(nèi)合理使用信息資產(chǎn)。組織對(duì)遵守制度的員工實(shí)施獎(jiǎng)勵(lì)，反之，對(duì)違規(guī)行為進(jìn)行處罰。在上層，面子對(duì)員工的約束力表現(xiàn)為道德和社會(huì)兩個(gè)層面。通常，違反信息安全制度被認(rèn)為是不符合道德標(biāo)準(zhǔn)的行為。一旦員工違規(guī)，道德的約束力會(huì)使其產(chǎn)生內(nèi)疚感，這種道德性消極情緒實(shí)際上是員工自律的表現(xiàn)。為了消除違背自身道德所產(chǎn)生的不良感知，員工會(huì)自覺(jué)地遵守信息安全制度。同樣，面子(臉)對(duì)于那些注重社會(huì)聲譽(yù)的員工同樣具有約束力，他們往往認(rèn)為違反信息安全制度是讓人感到羞恥的，會(huì)被同事、領(lǐng)導(dǎo)等重要他人所恥笑或輕視。為了保持或提升自身在組織中的聲譽(yù)或個(gè)人形象，他們通常不會(huì)違反信息安全制度，以防止丟臉的風(fēng)險(xiǎn)。此時(shí)，面子通過(guò)他律的形式對(duì)員工的信息安全行為進(jìn)行規(guī)勸和引導(dǎo)?？偠灾?，面子作為一種非正式控制機(jī)制通過(guò)自我約束的自律形式(道德性面子)和社會(huì)規(guī)范的他律形式(社會(huì)性面子)以及由此產(chǎn)生的罪惡感和羞恥感來(lái)規(guī)勸違規(guī)行為和引導(dǎo)遵守行為。面子實(shí)質(zhì)上可歸結(jié)為一種行為激勵(lì)，它可以激發(fā)、引導(dǎo)并維持社會(huì)期望的行為[27]，越是看重面子(特別是他人給的面子)的人，其行為越會(huì)受到大眾監(jiān)督，這也就意味著面子的約束力越強(qiáng)。

面子需求是中國(guó)人相對(duì)穩(wěn)定的個(gè)人特質(zhì)[26]。當(dāng)面子受到威脅時(shí)，掙取有面子的需求、避免丟面子的需求以及留面子的保護(hù)性需求成為一種強(qiáng)大的社會(huì)動(dòng)機(jī)，激勵(lì)人們實(shí)施恰當(dāng)?shù)男袨椤Ｕ腔谶@種心理需求促使面子機(jī)制發(fā)揮作用，由此產(chǎn)生的自我壓力和社會(huì)勸誡往往比強(qiáng)制性的制度和政策更為有效[28]。本研究把面子需求定義為員工的一種認(rèn)知性動(dòng)機(jī)，有助于維持和獲得面子以及避免在與信息安全相關(guān)的行為互動(dòng)中丟面子。CHOU[29]提出了護(hù)面子傾向和掙面子傾向兩種面子需求傾向。護(hù)面子傾向是一種消極的面子需求傾向，一般認(rèn)為具有護(hù)面子傾向的人往往會(huì)對(duì)消極評(píng)價(jià)比較敏感，他們不喜歡過(guò)多的在社會(huì)大眾面前自我曝光，傾向于保守和自我保護(hù)，以竭力避免丟面子。與此相反，具有掙面子傾向的人往往是積極的，他們傾向于通過(guò)自我營(yíng)銷等措施增加個(gè)人名譽(yù)并渴望獲得社會(huì)認(rèn)可。這兩種面子傾向?qū)θ藗兊恼J(rèn)知選擇和情感反應(yīng)產(chǎn)生不同效果的影響作用[29]。中國(guó)情景下的信息安全行為研究應(yīng)該考慮文化因素，面子作為一種儒家文化特質(zhì)對(duì)員工的信息安全行為決策有潛在的影響，但尚未有信息安全行為學(xué)研究對(duì)其進(jìn)行探討，本研究將探討面子在信息安全行為決策研究中的作用路徑。

3 研究模型和假設(shè)

信息安全制度遵守行為是指在信息安全制度準(zhǔn)許的范圍內(nèi)實(shí)施的一系列與信息系統(tǒng)和信息資源使用相關(guān)的行為，旨在促進(jìn)信息資產(chǎn)操作的安全、規(guī)范和高效?；诮M織控制框架，整合威懾理論、獎(jiǎng)勵(lì)機(jī)制和面子需求理論，構(gòu)建本研究的模型，見(jiàn)圖2。根據(jù)該模型，員工遵守組織的信息安全制度的行為意愿受組織正式控制機(jī)制(獎(jiǎng)勵(lì)激勵(lì)和組織威懾)以及非正式控制機(jī)制(面子需求)的共同作用，且非正式控制機(jī)制的面子需求對(duì)組織控制機(jī)制作用的發(fā)揮起調(diào)節(jié)作用。根據(jù)已有研究，本研究設(shè)置年齡、性別、學(xué)歷、工作經(jīng)驗(yàn)、就職部門(mén)、行業(yè)、計(jì)算機(jī)使用頻率等統(tǒng)計(jì)學(xué)變量作為控制變量。

圖1 面子與信息安全行為管理Figure 1 Face and Information Security Behavioral Management

圖2 研究模型Figure 2 Research Model

組織威懾和獎(jiǎng)勵(lì)激勵(lì)是兩種典型的促進(jìn)遵守行為的組織控制方法，作為組織正式控制機(jī)制的組成部分，這兩項(xiàng)措施準(zhǔn)確把握了員工趨利避害的行為動(dòng)機(jī)，從而通過(guò)正、負(fù)強(qiáng)化對(duì)員工的信息安全行為進(jìn)行干預(yù)，達(dá)成員工對(duì)信息安全制度的內(nèi)化和遵守。

懲罰增加生理和心理的成本，會(huì)對(duì)員工產(chǎn)生消極影響，如收回權(quán)限、扣薪或延遲晉升等。作為一種正式的強(qiáng)制性組織控制機(jī)制，懲罰可以有效地對(duì)員工未來(lái)的行為進(jìn)行控制和管理，以避免可能帶來(lái)的消極后果[5,30]。理性選擇理論認(rèn)為人們總是愿意從事低成本的活動(dòng)，因而員工往往會(huì)選擇糾正自己的偏差行為，并努力與組織期望達(dá)成一致，即遵守信息安全制度。此外，期望理論表明，一旦人們認(rèn)為可能的消極后果超出了預(yù)期，他們會(huì)采取行動(dòng)避免這種結(jié)果的發(fā)生。因此，公平合理的懲罰機(jī)制會(huì)增加員工的成本認(rèn)知，從而對(duì)違規(guī)行為形成威懾力，督促員工遵守信息安全制度的相關(guān)規(guī)定。因此，本研究提出假設(shè)。

H1感知到的懲罰對(duì)員工的信息安全制度遵守行為意愿有正向影響。

本研究中的獎(jiǎng)勵(lì)是指由組織給予的激勵(lì)，如獎(jiǎng)金、口頭或書(shū)面表?yè)P(yáng)等，以表彰員工為組織信息安全付出的努力。領(lǐng)導(dǎo)者的獎(jiǎng)勵(lì)行為有利于形成員工的承諾、提升任務(wù)績(jī)效和產(chǎn)生更多的組織公民行為[31]；同時(shí)，獎(jiǎng)勵(lì)的公平性也將提升員工士氣，增強(qiáng)他們采取符合組織期望的行為的意愿[32]。根據(jù)理性選擇理論，人們總是喜歡從事高收益的活動(dòng)，獎(jiǎng)勵(lì)激勵(lì)必然會(huì)帶來(lái)更多的個(gè)人利益。此外，期望理論認(rèn)為，當(dāng)獎(jiǎng)勵(lì)有足夠吸引力或想要得到獎(jiǎng)勵(lì)時(shí)，人們會(huì)參與到這些組織推薦的行為之中。因此，公平合理的獎(jiǎng)勵(lì)激勵(lì)會(huì)增加員工的得益認(rèn)知，從而督促員工實(shí)施遵守信息安全制度的行為。因此，本研究提出假設(shè)。

H2感知到的獎(jiǎng)勵(lì)對(duì)員工的信息安全制度遵守行為意愿有正向影響。

面子影響個(gè)人行為，特別是在組織中，面子被認(rèn)為是一種非正式的行為控制機(jī)制[22,26]。一般而言，丟面子會(huì)導(dǎo)致羞愧或窘迫，進(jìn)而誘發(fā)一系列消極情緒，如焦慮、害怕、生氣、沮喪、壓抑等[33-34]；而掙面子則會(huì)激發(fā)積極情緒，如高興、開(kāi)心等。因此，為了避免丟面子，或出于維持面子或掙面子的需要，人們往往會(huì)采取一些預(yù)防措施(如撕破臉、限制行為或回避等)或補(bǔ)償措施(如解釋和溝通、修正和補(bǔ)償?shù)?[25,34]。

遵守信息安全制度的行為符合組織期望和利益。持續(xù)性的遵守信息安全制度的行為為組織所提倡和鼓勵(lì)，員工渴望達(dá)成組織期望，并借此塑造積極的自我形象[35]，這會(huì)讓具有掙面子傾向的員工感覺(jué)到有面子。相比之下，違反信息安全制度的行為在一定程度上被組織所詬病并避免，從事違規(guī)行為將會(huì)面臨丟面子的風(fēng)險(xiǎn)，如遭受來(lái)自同事或上司的奚落甚至輕視。為了避免丟面子的風(fēng)險(xiǎn)，具有護(hù)面子傾向的員工可能會(huì)轉(zhuǎn)向?qū)嵤┳袷刂贫鹊男袨椴呗?。因此，員工的面子需求對(duì)信息安全制度的遵守行為有直接影響，故本研究提出假設(shè)。

H3護(hù)面子傾向?qū)T工信息安全制度遵守行為意愿有正向影響；

H4掙面子傾向?qū)T工信息安全制度遵守行為意愿有正向影響。

HOLLINGER[36]認(rèn)為員工在組織中表現(xiàn)出的行為是組織規(guī)范的內(nèi)化和外部社會(huì)壓力交互作用的結(jié)果。本研究中規(guī)范的內(nèi)化過(guò)程通過(guò)懲罰違規(guī)行為和獎(jiǎng)勵(lì)遵守行為來(lái)實(shí)現(xiàn)，外部壓力則產(chǎn)生于員工感知到的面子規(guī)范對(duì)于實(shí)施信息安全決策所產(chǎn)生的壓力，即員工遵守信息安全制度的行為是正式控制機(jī)制與非正式控制機(jī)制交互作用的結(jié)果。

在本研究情景下，面子是一個(gè)相對(duì)積極的概念，不包含虛榮、攀比、炫耀等消極層面的含義。如圖1所示，個(gè)體對(duì)于面子的追求實(shí)質(zhì)上是對(duì)個(gè)人道德信念和外部社會(huì)壓力的良性感知，這種基于道德的自律性和基于社會(huì)壓力的他律性的外在表現(xiàn)體現(xiàn)為個(gè)體面子的得失，從而產(chǎn)生對(duì)自身行為進(jìn)行約束的動(dòng)力。

具有較高護(hù)面子傾向的個(gè)體對(duì)負(fù)面評(píng)價(jià)非常敏感，通常行動(dòng)上偏向保守和謹(jǐn)慎，避免做出違背社會(huì)規(guī)范的出格舉動(dòng)[29]。對(duì)于具有較高程度的護(hù)面子傾向的員工來(lái)講，違反信息安全制度的行為對(duì)個(gè)人形象和聲譽(yù)產(chǎn)生負(fù)面影響，對(duì)職業(yè)生涯和人際關(guān)系造成嚴(yán)重的潛在危害，這種來(lái)自個(gè)人規(guī)范和道德信念的壓力會(huì)督促員工自覺(jué)地遠(yuǎn)離違規(guī)行為，繼而實(shí)施組織認(rèn)可的遵守行為。反之，低護(hù)面子傾向的人缺少必要的自律和社會(huì)壓力知覺(jué)，他們的行為往往需要借助威懾的力量進(jìn)行規(guī)勸。懲罰措施明確了哪些行為是被嚴(yán)令禁止的，而違反這些行為將增加行為成本，由此預(yù)防在未來(lái)發(fā)生違規(guī)行為的可能性。LI et al.[19]和D′ARCY et al.[6]發(fā)現(xiàn)個(gè)人規(guī)范和道德信念負(fù)向調(diào)節(jié)威懾與積極安全行為意愿的關(guān)系，表明威懾僅僅對(duì)缺乏個(gè)人規(guī)范或道德信念約束的人發(fā)揮作用。因此，本研究提出假設(shè)。

H5護(hù)面子傾向負(fù)向調(diào)節(jié)感知到的懲罰與信息安全制度遵守行為意愿之間的關(guān)系。

具有掙面子傾向的人渴望獲得面子[37]，面子得失關(guān)系到個(gè)人的形象和聲譽(yù)。特別是在中國(guó)的集體主義氛圍下，良好的個(gè)人形象會(huì)獲得更多的潛在優(yōu)勢(shì)，如得到晉升優(yōu)勢(shì)和獲得領(lǐng)導(dǎo)的青睞等。因此，具有較高掙面子傾向的員工其行為模式與個(gè)人道德水平和社會(huì)聲望相一致。他們對(duì)積極評(píng)價(jià)較為敏感，往往為自己設(shè)置較高的行為標(biāo)準(zhǔn)，并通過(guò)努力工作爭(zhēng)取獲得他人的認(rèn)可和尊重[29]。然而，低掙面子傾向的人對(duì)道德和規(guī)范的壓力感知程度較低，需要通過(guò)外部激勵(lì)喚起其實(shí)施安全行為的動(dòng)機(jī)。獎(jiǎng)勵(lì)激勵(lì)加強(qiáng)了政策的約束和控制力[21]，特別是對(duì)于具有較低掙面子傾向的員工來(lái)說(shuō)，適當(dāng)?shù)莫?jiǎng)勵(lì)激勵(lì)有助于他們明確當(dāng)前信息安全在組織環(huán)境下的重要性，對(duì)于建立和鞏固員工的信息安全責(zé)任和義務(wù)有重要作用。因此，本研究提出假設(shè)。

H6掙面子傾向負(fù)向調(diào)節(jié)感知到的獎(jiǎng)勵(lì)與信息安全制度遵守行為意愿之間的關(guān)系。

4 研究方法

4.1 變量測(cè)量

測(cè)量量表中所有題項(xiàng)均來(lái)自已有研究，并針對(duì)本研究的特定情景進(jìn)行適當(dāng)?shù)男抻?。護(hù)面子傾向和掙面子傾向的題項(xiàng)來(lái)源于CHOU[29]編制的面子傾向測(cè)量量表(protective and acquisitive face orientations scale,PAS)，該量表用以描述在掙面子和護(hù)面子兩種動(dòng)機(jī)下個(gè)人的普遍性傾向。本研究對(duì)該量表題項(xiàng)進(jìn)行篩選，首先，借鑒前人的研究方法，僅選取與當(dāng)前研究情景相關(guān)度最高的題項(xiàng)[38-39]。其次，借鑒EISENBERGER et al.[40]和NEVES et al.[41]的研究方法，僅選取因子載荷較高的題項(xiàng)。結(jié)合前兩項(xiàng)篩選原則，構(gòu)成本研究的測(cè)量量表。使用Likert 5級(jí)量表進(jìn)行刻度，表征受訪者對(duì)描述語(yǔ)句的贊同程度，1為強(qiáng)烈反對(duì)，5為完全同意。面子傾向測(cè)量量表在針對(duì)香港地區(qū)的樣本研究中顯示出良好的信度和效度[29,42]。

基于BOSS et al.[20]和SIPONEN et al.[43]的研究對(duì)感知到的獎(jiǎng)勵(lì)進(jìn)行測(cè)量，用來(lái)表征員工實(shí)施信息安全行為時(shí)獲得獎(jiǎng)勵(lì)的可能性。根據(jù)CHEN et al.[5]的研究對(duì)感知到的懲罰進(jìn)行測(cè)量。遵守信息安全制度行為意愿的操作化定義為當(dāng)員工對(duì)使用信息設(shè)備或訪問(wèn)數(shù)據(jù)資料時(shí)遵循組織規(guī)范或?qū)嵤┙M織期望的信息安全行為的看法，基于BULGURCU et al.[22]的研究對(duì)該變量進(jìn)行測(cè)量。同樣采用Likert 5級(jí)量表進(jìn)行刻度，表征受訪者對(duì)描述語(yǔ)句的可能性判斷，1為完全不可能，5為一定。上述量表內(nèi)容在已有研究中均顯示出良好的信度和效度。

4.2 試測(cè)

量表初步開(kāi)發(fā)完成后，通過(guò)專家小組討論，對(duì)相關(guān)量表的題項(xiàng)表述和內(nèi)容進(jìn)行調(diào)整。隨后對(duì)量表進(jìn)行試測(cè)，試測(cè)人員是來(lái)自實(shí)施了信息系統(tǒng)安全制度的IT公司和銀行的正式員工。題項(xiàng)的因子載荷一般要求在0.500以上，為了保證收斂效度良好，根據(jù)試測(cè)檢驗(yàn)結(jié)果剔除因子載荷小于0.600的題項(xiàng)。此外，根據(jù)被試反饋對(duì)問(wèn)卷進(jìn)行調(diào)整和完善，最大程度的保證量表的內(nèi)容效度。

4.3 數(shù)據(jù)收集

采用問(wèn)卷調(diào)研法進(jìn)行數(shù)據(jù)收集。問(wèn)卷調(diào)研依托專業(yè)的調(diào)研網(wǎng)站，開(kāi)始于2015年4月，歷時(shí)3周完成。問(wèn)卷填寫(xiě)前，要求受訪者回憶當(dāng)前工作單位中信息安全制度的實(shí)施情況以及計(jì)算機(jī)等信息系統(tǒng)設(shè)施在日常工作中的應(yīng)用情況。如果該受訪者所在工作單位沒(méi)有實(shí)施信息安全制度，或計(jì)算機(jī)等信息系統(tǒng)設(shè)施的使用頻率和應(yīng)用范圍過(guò)低，則終止問(wèn)卷填寫(xiě)。問(wèn)卷的發(fā)放針對(duì)實(shí)施信息安全制度的組織，隨機(jī)向其正式員工推送電子問(wèn)卷，臨時(shí)合同人員和離退休人員不包含在此次受訪者的范圍之內(nèi)，對(duì)于合乎要求的參與者給予一定的現(xiàn)金獎(jiǎng)勵(lì)。此外，調(diào)研網(wǎng)站對(duì)問(wèn)卷的收集過(guò)程進(jìn)行必要的控制，如限制每個(gè)IP和每臺(tái)電腦不能重復(fù)提交問(wèn)卷；不允許提交非完整填寫(xiě)的問(wèn)卷等。

PLS-SEM對(duì)樣本量并沒(méi)有嚴(yán)苛的限制，甚至在小樣本下同樣可以表現(xiàn)出良好的模型擬合效果[44]。經(jīng)過(guò)數(shù)據(jù)收集，回收樣本433份。研究人員對(duì)回收的樣本數(shù)據(jù)進(jìn)行篩選，剔除前后矛盾、明顯的惡意回答等數(shù)據(jù)樣本24份，最終得到有效問(wèn)卷共計(jì)409份?；厥諛颖痉植继卣饕?jiàn)表1。

5 數(shù)據(jù)分析和結(jié)果討論

選用PLS偏最小二乘法和Smart PLS 2.0工具進(jìn)行數(shù)據(jù)分析。為了排除共同方法變異的影響，采用單因素檢驗(yàn)法進(jìn)行驗(yàn)證。檢驗(yàn)發(fā)現(xiàn)未旋轉(zhuǎn)時(shí)單個(gè)因子最大的累積變異數(shù)貢獻(xiàn)率低于50%，不存在共同方法變異的問(wèn)題。

5.1 測(cè)量模型檢驗(yàn)

對(duì)量表的信度和效度進(jìn)行檢驗(yàn)，測(cè)量量表內(nèi)容和各題項(xiàng)結(jié)果詳見(jiàn)表2和表3。由表2可知，所有構(gòu)念的組合信度(CR)在0.700以上，表明量表信度良好。平均變量萃取量AVE均大于0.500，且根據(jù)表3相關(guān)矩陣檢驗(yàn)結(jié)果，所有題項(xiàng)在各自構(gòu)念下的載荷值明顯高于其他構(gòu)念下的載荷值，AVE平方根值大于所有的相關(guān)系數(shù)，表明量表的區(qū)分效度良好?；谝陨戏治鼋Y(jié)果，量表信度和效度符合基本要求。

5.2 假設(shè)檢驗(yàn)結(jié)果

采用偏最小二乘法進(jìn)行全模型假設(shè)檢驗(yàn)的結(jié)果見(jiàn)圖3，模型的累計(jì)解釋總體方差變異為44.200%。未發(fā)現(xiàn)控制變量對(duì)模型結(jié)果變量的作用效果，即在p<0.050的置信區(qū)間下路徑系數(shù)不顯著。加入控制變量后，模型的累計(jì)解釋總體方差變異為46.400%。

假設(shè)檢驗(yàn)結(jié)果顯示，感知到的懲罰對(duì)信息安全制度遵守行為意愿具有顯著的正向影響，β=0.135,p<0.001，H1得到驗(yàn)證。該研究結(jié)果與CHEN et al.[5]的研究結(jié)果相同，表明通過(guò)組織威懾手段對(duì)信息安全行為進(jìn)行管理是東西方文化情景下的普遍性對(duì)策。感知到的獎(jiǎng)勵(lì)對(duì)信息安全制度遵守行為意愿具有顯著的正向影響，β=0.344,p<0.001，H2得到驗(yàn)證。此外，通過(guò)路徑系數(shù)比較發(fā)現(xiàn)，感知到的獎(jiǎng)勵(lì)的作用效果明顯高于感知到的懲罰。表明中國(guó)情景下，通過(guò)采取獎(jiǎng)勵(lì)激勵(lì)手段比組織威懾更能激發(fā)員工實(shí)施信息安全行為的熱情。

表1 樣本描述性統(tǒng)計(jì)Table 1 Descriptive Statistics of Sample

假設(shè)檢驗(yàn)結(jié)果顯示，護(hù)面子傾向?qū)π畔踩贫茸袷匦袨橐庠妇哂酗@著的正向影響，β=0.133,p<0.050；掙面子傾向?qū)π畔踩贫茸袷匦袨橐庠妇哂酗@著的正向影響，β=0.156,p<0.050。H3和H4得到驗(yàn)證，表明組織可以通過(guò)面子規(guī)范引導(dǎo)員工的信息安全行為。集體主義情景下的個(gè)體往往不是一個(gè)獨(dú)立的實(shí)體，而總是將自身與其他人聯(lián)系起來(lái)。多數(shù)情況下，個(gè)體的行動(dòng)并不僅僅受制于個(gè)人意志，同時(shí)也必須滿足他人的期望和制約。遵守信息安全制度是符合組織期望的行為，員工通過(guò)遵守信息安全制度獲得組織的認(rèn)可，從而在滿足感或者成就感中獲得面子。對(duì)于掙面子導(dǎo)向較高的人來(lái)講，恪守禮儀[34](如遵守信息安全制度)在維護(hù)既有面子之余還能增加面子，出于獲得面子的需求，員工選擇遵守信息安全制度。此外，中國(guó)人的面子觀念是以社會(huì)取向?yàn)橹鞯?，個(gè)人的行為標(biāo)準(zhǔn)依賴于團(tuán)體或他人評(píng)價(jià)[34]。在這種他人指向性的面子互動(dòng)中，人們傾向于極力避免來(lái)自他人或團(tuán)體的不贊同[28]。護(hù)面子導(dǎo)向較高的人對(duì)這種不贊同的反應(yīng)較為敏感，往往認(rèn)為這種不贊同是對(duì)面子的極大威脅。由此，實(shí)施事先避免丟面子的行為[34]，如遵守信息安全制度的預(yù)防性措施，有助于員工降低丟面子的風(fēng)險(xiǎn)。

假設(shè)檢驗(yàn)結(jié)果表明，護(hù)面子傾向在感知到的懲罰與信息安全制度遵守行為意愿間的關(guān)系中起負(fù)向調(diào)節(jié)作用，β=-0.099,p<0.050。通過(guò)F檢驗(yàn)計(jì)算出H5調(diào)節(jié)效應(yīng)的值為0.075(∈(0.020,0.150])，表明護(hù)面子傾向?qū)φ娇刂茩C(jī)制(威懾)與信息安全制度遵守行為意愿關(guān)系具有弱調(diào)節(jié)效應(yīng)。圖4描繪了護(hù)面子傾向高(均值加標(biāo)準(zhǔn)差)和低(均值減標(biāo)準(zhǔn)差)兩種情況下的調(diào)節(jié)效果。比較兩條線的走勢(shì)，護(hù)面子傾向越高的員工，感知到的懲罰對(duì)信息安全制度遵守行為意愿的激勵(lì)作用越弱，H5得到驗(yàn)證。研究結(jié)果表明，處罰措施對(duì)于那些具有較低的護(hù)面子傾向的員工更具威懾效果。假設(shè)檢驗(yàn)結(jié)果同樣表明，掙面子傾向在感知到的獎(jiǎng)勵(lì)與信息安全制度遵守行為意愿間的關(guān)系中起負(fù)向調(diào)節(jié)作用，β=-0.128,p<0.050。通過(guò)F檢驗(yàn)計(jì)算出H6調(diào)節(jié)效應(yīng)的值為0.055(∈(0.020,0.150])，表明掙面子傾向?qū)φ娇刂茩C(jī)制(獎(jiǎng)勵(lì))與信息安全制度遵守行為意愿關(guān)系具有弱調(diào)節(jié)效應(yīng)。圖5描繪了掙面子傾向高(均值加標(biāo)準(zhǔn)差)和低(均值減標(biāo)準(zhǔn)差)兩種情況下的調(diào)節(jié)效果。

注：*為p<0.050，***為p<0.001。

圖3假設(shè)檢驗(yàn)結(jié)果
Figure3ResultsofHypothesisTest

圖4 護(hù)面子傾向的調(diào)節(jié)作用Figure 4 Moderating Effectof Protective Face Orientation

圖5 掙面子傾向的調(diào)節(jié)作用Figure 5 Moderating Effectof Acquisitive Face Orientation

比較兩條線的走勢(shì)，掙面子傾向程度越高的員工，感知到的獎(jiǎng)勵(lì)對(duì)信息安全制度遵守行為意愿的激勵(lì)作用越弱，H6得到驗(yàn)證。研究發(fā)現(xiàn)通過(guò)獎(jiǎng)勵(lì)措施激勵(lì)具有較高掙面子傾向的員工遵守信息安全制度的實(shí)際效果要比激勵(lì)具有較低掙面子導(dǎo)向的員工弱。

面子傾向?qū)Κ?jiǎng)懲機(jī)制與信息安全制度遵守行為意愿之間關(guān)系起負(fù)向調(diào)節(jié)作用，該結(jié)論表明，盡管基于獎(jiǎng)懲的組織正式控制機(jī)制和基于面子需求的非正式控制機(jī)制均對(duì)員工的信息安全行為產(chǎn)生引導(dǎo)作用，但是發(fā)揮作用的前提不同。根據(jù)面子需求程度的差異，可以將員工分為好面子的員工和不好面子的員工。對(duì)于好面子的員工而言，他們看中自身的聲譽(yù)和個(gè)人形象，或者對(duì)丟面子有著天然的顧慮，而這種對(duì)于面子得失的需求動(dòng)機(jī)激發(fā)了他們的自我管理或外部壓力體驗(yàn)，從而實(shí)施積極的信息安全行為。而對(duì)于不好面子的員工而言，他們對(duì)于面子的得失缺乏敏感，單純依靠面子管理無(wú)法取得應(yīng)有的效果，還需要借助獎(jiǎng)懲機(jī)制激發(fā)他們對(duì)于個(gè)人得利和行動(dòng)成本的認(rèn)知，從而引導(dǎo)其遵守信息安全制度。根據(jù)圖4所示，懲罰機(jī)制對(duì)于好面子的員工的威懾效果并不明顯，這種丟面子的顧慮是驅(qū)動(dòng)其實(shí)施遵守行為的重要?jiǎng)訖C(jī)；而對(duì)于不好面子的員工而言，通過(guò)施加威懾力，其信息安全制度遵守行為意愿得到明顯的提升。根據(jù)圖5所示，獎(jiǎng)勵(lì)對(duì)于兩種類型的員工均產(chǎn)生不同程度的激勵(lì)作用，但是相比較而言，激勵(lì)對(duì)于不好面子的員工的行為引導(dǎo)效果更佳，而對(duì)于好面子的員工而言，自身對(duì)面子的追求同樣是其遵守信息安全制度的重要驅(qū)動(dòng)力。

6 結(jié)論

行為學(xué)視角下的信息安全管理對(duì)組織的信息資源配置和員工行為控制具有重要意義。基于組織控制機(jī)制框架，整合以獎(jiǎng)勵(lì)激勵(lì)和組織威懾構(gòu)成的正式控制機(jī)制以及以面子需求為內(nèi)容的非正式控制機(jī)制構(gòu)建研究模型，探討增強(qiáng)信息安全行為管理有效性的關(guān)鍵路徑。研究結(jié)果表明，通過(guò)實(shí)行有效的獎(jiǎng)懲機(jī)制，可以達(dá)到通過(guò)組織強(qiáng)制力規(guī)范員工實(shí)施信息安全行為的目的；以面子需求為內(nèi)容的非正式控制機(jī)制對(duì)員工的信息安全行為起引導(dǎo)作用，面子需求是驅(qū)動(dòng)員工遵守信息安全制度的重要?jiǎng)訖C(jī)。研究發(fā)現(xiàn)，面子需求對(duì)獎(jiǎng)懲機(jī)制的調(diào)節(jié)作用，即護(hù)面子傾向負(fù)向調(diào)節(jié)感知到的懲罰與信息安全制度遵守行為意愿之間的關(guān)系，掙面子傾向負(fù)向調(diào)節(jié)感知到的獎(jiǎng)勵(lì)與信息安全制度遵守行為意愿之間的關(guān)系。研究揭示了信息安全行為管理中實(shí)施正式控制機(jī)制的重要性和非正式控制的必要性，通過(guò)引入面子需求完善當(dāng)前組織信息安全管理的機(jī)制設(shè)計(jì)，以達(dá)到對(duì)員工行為的約束和引導(dǎo)。

本研究的創(chuàng)新性和學(xué)術(shù)意義在于：①揭示基于懲罰的正式控制機(jī)制對(duì)員工遵守信息安全制度的行為意愿有強(qiáng)制性威懾作用。懲罰能夠喚起員工對(duì)行為成本的感知和計(jì)算，出于成本規(guī)避的考慮，促使員工改正自身的違規(guī)行為并避免未來(lái)違規(guī)的發(fā)生。組織威懾實(shí)質(zhì)是通過(guò)負(fù)向刺激的方式督促員工實(shí)施恰當(dāng)?shù)男畔踩袨椤＂谧C實(shí)基于獎(jiǎng)勵(lì)的正式控制機(jī)制對(duì)員工遵守信息安全制度的行為意愿同樣具有正向推動(dòng)作用，且其作用效果明顯優(yōu)于威懾。盡管已有研究多數(shù)認(rèn)為獎(jiǎng)勵(lì)激勵(lì)在組織的具體實(shí)施過(guò)程中會(huì)面臨諸多困難，但是本研究結(jié)果證實(shí)，通過(guò)口頭激勵(lì)和實(shí)物獎(jiǎng)勵(lì)的方式能夠促進(jìn)員工對(duì)于實(shí)施信息安全行為的得利認(rèn)知，這種正向激勵(lì)的方式對(duì)實(shí)施信息安全行為有良好的推動(dòng)作用。③面子需求在信息安全行為管理中起積極作用。面子需求作為文化變量被首次引入到信息安全行為管理中，揭示了員工無(wú)論是出于掙面子的動(dòng)機(jī)還是護(hù)面子的動(dòng)機(jī)，均會(huì)為了自身的面子顧慮而遵守信息安全制度。研究表明，這種基于面子需求的非正式控制機(jī)制同樣可以引導(dǎo)信息安全行為。④揭示了面子需求對(duì)正式控制機(jī)制的調(diào)節(jié)路徑，發(fā)現(xiàn)了基于面子需求的非正式控制機(jī)制和基于獎(jiǎng)懲的正式控制機(jī)制發(fā)揮作用的前提條件，獎(jiǎng)懲機(jī)制的作用力度與員工的面子傾向負(fù)相關(guān)。盡管獎(jiǎng)懲機(jī)制對(duì)員工的信息安全行為有正向的引導(dǎo)作用，但獎(jiǎng)懲措施對(duì)面子傾向程度較低的員工更為有效。

研究結(jié)論對(duì)信息安全行為管理具有重要參考價(jià)值和實(shí)踐意義。①完善組織正式控制機(jī)制。對(duì)員工信息安全行為的管理不能一味地通過(guò)懲罰手段，適時(shí)的獎(jiǎng)勵(lì)舉措更能激發(fā)員工的安全行為。因此，組織應(yīng)重視獎(jiǎng)勵(lì)手段的積極作用，設(shè)置公平合理的獎(jiǎng)勵(lì)考核機(jī)制，通過(guò)累計(jì)積分換購(gòu)等形式激勵(lì)員工，以實(shí)現(xiàn)信息安全目標(biāo)。此外，在完善物質(zhì)激勵(lì)措施的同時(shí)，嘗試通過(guò)榮譽(yù)激勵(lì)的形式補(bǔ)充現(xiàn)有的獎(jiǎng)勵(lì)方式，如通過(guò)樹(shù)立標(biāo)兵典型增強(qiáng)員工對(duì)于信息安全行為的關(guān)注和重視。②重視面子需求的激勵(lì)作用。對(duì)面子的研究有助于組織實(shí)現(xiàn)員工的差異化管理，針對(duì)不同面子傾向的員工分別采取不同的獎(jiǎng)懲刺激，實(shí)現(xiàn)對(duì)其信息安全行為的控制和引導(dǎo)。同時(shí)，對(duì)于好面子的員工可通過(guò)“給面子”或“留面子”的工具性行為激發(fā)他們的自我行為約束。③信息安全管理不能僅僅局限于盲目的引入安全技術(shù)，更應(yīng)該重視對(duì)員工行為的引導(dǎo)和規(guī)范，通過(guò)對(duì)獎(jiǎng)勵(lì)激勵(lì)、組織威懾和面子需求的綜合運(yùn)用，對(duì)員工實(shí)行差別化管理，引導(dǎo)員工從思想上養(yǎng)成信息安全意識(shí)，從行為上自覺(jué)維護(hù)信息安全，最終實(shí)現(xiàn)安全目標(biāo)。

研究尚存在不夠完善和需要拓展之處。①考慮到研究情景，本研究根據(jù)前人的經(jīng)驗(yàn)，對(duì)面子傾向量表進(jìn)行篩選，有選擇的保留了因子載荷較高的題項(xiàng)。盡管如此，數(shù)據(jù)處理過(guò)程中仍然有部分題項(xiàng)因因子載荷過(guò)低被剔除，未來(lái)研究應(yīng)開(kāi)發(fā)更加符合中國(guó)大陸組織文化情景的面子研究量表。②信息安全行為管理需要更多中國(guó)情景下的探討，無(wú)論是基于中國(guó)樣本的驗(yàn)證性研究，還是引入文化要素的探索性研究，都應(yīng)該積極嘗試，以構(gòu)建符合中國(guó)當(dāng)前組織實(shí)際的信息安全管理模式。

[1]PADAYACHEE K.Taxonomy of compliant information security behavior.Computers&Security,2012,31(5):673-680.

[2]WHITMAN M E.Enemy at the gate:threats to information security.CommunicationsoftheACM,2003,46(8):91-95.

[3]D′ARCY J,HOVAV A,GALLETTA D.User awareness of security countermeasures and its impact on information systems misuse:a deterrence approach.InformationSystemsResearch,2009,20(1):79-98.

[4]WORKMAN M,BOMMER W H,STRAUB D.Security lapses and the omission of information security measures:a threat control model and empirical test.ComputersinHumanBehavior,2008,24(6):2799-2816.

[5]CHEN Y,RAMAMURTHY K,WEN K W.Organizations′ information security policy compliance:stick or carrot approach?.JournalofManagementInformationSystems,2012,29(3):157-188.

[6]D′ARCY J,HERATH T.A review and analysis of deterrence theory in the IS security literature:making sense of the disparate findings.EuropeanJournalofInformationSystems,2011,20(6):643-658.

[7]CHENG L,LI W,ZHAI Q,et al.Understanding personal use of the internet at work:an interated model of neutralization techniques and general deterrence theory.ComputersinHumanBehaivor,2014,38:220-228.

[8]JOHNSTON A C,WARKENTIN M,SIPONEN M.An enhanced fear appeal rhetorical framework:leveraging threats to the human asset through sanctioning rhetoric.MISQuarterly,2015,39(1):113-134.

[9] XUE Y,LIANG H,WU L.Punishment,justice,and compliance in mandatory IT settings.InformationSystemsResearch,2011,22(2):400-414.

[10] HOVAV A,D′ARCY J.Applying an extended model of deterrence across cultures:an investigation of information systems misuse in the U.S.and South Korea.Information&Management,2012,49(2):99-110.

[11] 陳炳,高猛.“面子”文化與管理之道:中國(guó)式管理的文化生態(tài)學(xué)視角.管理學(xué)報(bào),2010,7(6):797-803.

CHEN Bing,GAO Meng.Golden rules of management in Chinese face culture based on cultural ecosystem theory.ChineseJournalofManagement,2010,7(6):797-803.(in Chinese)

[12] 王慶娟,張金成.工作場(chǎng)所的儒家傳統(tǒng)價(jià)值觀:理論、測(cè)量與效度檢驗(yàn).南開(kāi)管理評(píng)論,2012,15(4):66-79,110.

WANG Qingjuan,ZHANG Jincheng.Confucian traditional values at workplace:theory,measurement and validation.NankaiBusinessReview,2012,15(4):66-79,110.(in Chinese)

[13] 惠志斌.國(guó)內(nèi)信息安全研究發(fā)展脈絡(luò)初探:基于1980-2010年CNKI核心期刊的文獻(xiàn)計(jì)量與內(nèi)容分析.圖書(shū)情報(bào)工作,2012,56(6):14-19.

HUI Zhibin.Development of domestic information security researches:based on the literature methological analysis and content analysis in the core journals of CNKI(1980-2010).LibraryandInformationService,2012,56(6):14-19.(in Chinese)

[14] 林潤(rùn)輝,謝宗曉,劉琦.信息安全管理研究回顧、脈絡(luò)梳理及未來(lái)展望.信息系統(tǒng)學(xué)報(bào),2015,15:76-88.

LIN Runhui,XIE Zongxiao,LIU Qi.Information security management research review,carding and future prospects.ChinaJournalofInformationSystems,2015,15:76-88.(in Chinese)

[15] BARLOW J B,WARKENTIN M,ORMOND D,et al.Don′t make excuses!Discouraging neutralization to reduce IT policy violation.Computers&Security,2013,39(B):145-159.

[16] LIANG H,XUE Y,WU L.Ensuring employees′ IT compliance:carrot or stick?.InformationSystemsResearch,2013,24(2):279-294.

[17] SIPONEN M,VANCE A.Neutralization:new insights into the problem of employee systems security policy violations.MISQuarterly,2010,34(3):487-502.

[18] HU Q,XU Z,DINEV T,et al.Does deterrence work in reducing information security policy abuse by employees?.CommunicationsoftheACM,2011,54(6):54-60.

[19] LI H,ZHANG J,SARATHY R.Understanding compliance with internet use policy from the perspective of rational choice theory.DecisionSupportSystems,2010,48(4):635-645.

[20] BOSS S R,KIRSCH L J,ANGERMEIER I,et al.If someone is watching,I′ll do what I′m asked:mandatoriness,control,and information security.EuropeanJournalofInformationSystems,2009,18(2):151-164.

[21] FREDERICKSON J R,WALLER W.Carrot or stick?Contract frame and use of decision-influencing information in a principal-agent setting.JournalofAccountingResearch,2005,43(5):709-733.

[22] BULGURCU B,CAVUSOGLU H,BENBASAT I.Information security policy compliance:an empirical study of rationality-based beliefs and information security awareness.MISQuarterly,2010,34(3):523-548.

[23] 胡先晉.中國(guó)人的臉面觀∥翟學(xué)偉.中國(guó)社會(huì)心理學(xué)評(píng)論(第二輯).北京:社會(huì)科學(xué)文獻(xiàn)出版社,2006:1-17.

Hsien Chin HU.The Chinese concepts of “face”∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:1-17.(in Chinese)

[24] 金耀基.“面”、“恥”與中國(guó)人行為之分析∥翟學(xué)偉.中國(guó)社會(huì)心理學(xué)評(píng)論(第二輯).北京:社會(huì)科學(xué)文獻(xiàn)出版社,2006:48-64.

KING Ambrose Yeo-chi.Social interactions among the Chinese:on the issue of face∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:48-64.(in Chinese)

[25] GOFFMAN E.On face-work:an analysis of ritual elements in social interaction.PsychiatryInterpersonal&BiologicalPrecesses,1955,18(3):213-231.

[26] 陳之昭.面子心理的理論分析與實(shí)際研究∥翟學(xué)偉.中國(guó)社會(huì)心理學(xué)評(píng)論(第二輯).北京:社會(huì)科學(xué)文獻(xiàn)出版社,2006:107-160.

CHEN Zhizhao.Theoretical analysis and empircal study of the face issue∥ZHAI Xuewei.ChineseSocialOrientationBasedonSocialInterationPerspective(theSecondSeries).Beijing:Social Science Academic Press,2006:107-160.(in Chinese)

[27] 趙卓嘉.面子作用于知識(shí)型員工任務(wù)沖突選擇的內(nèi)在機(jī)理:基于期望理論的實(shí)證研究.財(cái)經(jīng)論叢,2013(4):101-106.

ZHAO Zhuojia.Impact of face on knowledge workers′ task conflict handling choices:an empirical research based on the expectancy theory.CollectedEssaysonFinanceandEconomics,2013(4):101-106.(in Chinese)

[28] 趙卓嘉.面子理論研究評(píng)述.重慶大學(xué)學(xué)報(bào):社會(huì)科學(xué)版,2012,18(5):128-137.

ZHAO Zhuojia.A literature review of mianzi.JournalofChongqingUniversity:SocialScienceEdition,2012,18(5):128-137.(in Chinese)

[29] CHOU M L.Protectiveandacquisitivefaceorientations:apersonbysituationapproachtofacedynamicsinsocialinteraction.Hong Kong:The University of Hong Kong,1996:93-110.

[30] ARVEY R D,IVANCEVICH J M.Punishment in organizations:a review,propositions,and research suggestions.AcademyofManagementReview,1980,5(1):123-132.

[31] PODSAKOFF P M,BOMMER W H,PODSAKOFF N P,et al.Relationships between leader reward and punishment behavior and subordinate attitudes,perceptions,and behaviors:a meta-analytic review of existing and new research.OrganizationalBehaviorandHumanDecisionProcesses,2006,99(2):113-142.

[32] JACKSON E M,ROSSI M E,HOOVER E R,et al.Relationships of leader reward behavior with employee behavior:fairness and morale as key mediators.Leadership&OrganizationDevelopmentJournal,2012,33(7):646-661.

[33] REDDING S G,NG M.The role of “face” in the organizational perceptions of Chinese managers.InternationalStudiesofManagement&Organization,1983,3(3):92-123.

[34] 朱瑞玲.中國(guó)人的社會(huì)互動(dòng):論面子的運(yùn)作.中國(guó)社會(huì)學(xué)刊,1987,11:23-53.

CHU Rueyling.Social interactions among the Chinese:on the issue of face.ChineseJournalofSociology,1987,11:23-53.(in Chinese)

[35] KIM J Y,NAM S H.The concept and dynamics of face:implications for organizational behavior in Asia.OrganizationScience,1998,9(4):522-534.

[36] HOLLINGER R C.Acts against the workplace:social bonding and employee deviance.DeviantBehavior,1986,7(1):53-75.

[37] LAU Y,FU KEUNG WONG D.Are concern for face and willingness to seek help correlated to early postnatal depressive symptoms among Hong Kong Chinese women?A cross-sectional questionnaire survey.InternationalJournalofNursingStudies,2008,45(1):51-64.

[38] D′ARCY J,HERATH T,SHOSS M K.Understanding employee responses to stressful information security requirements:a coping perspective.JournalofManagementInformationSystems,2014,31(2):285-318.

[39] DETERT J R,TREVIO L K,SWEITZER V L.Moral disengagement in ethical decision making:a study of antecedents and outcomes.JournalofAppliedPsychology,2008,93(2):374-391.

[40] EISENBERGER R,STINGLHAMBER F,VANDENBERGHE C,et al.Perceived supervisor support:contributions to perceived organizational support and employee retention.JournalofAppliedPsychology,2002,87(3):565-573.

[41] NEVES P,EISENBERGER R.Perceived organizational support and risk taking.JournalofManagerialPsychology,2014,29(2):187-205.

[42] WANG H.Helpseekingtendencyinsituationofthreattoself-esteemandface-losing.Hong Kong:The University of Hong Kong,2002:189-193.

[43] SIPONEN M,ADAM MAHMOOD M,PAHNILA S.Employees′ adherence to information security policies:an exploratory field study.Information&Management,2014,51(2):217-224.

[44] REINARTZ W,HAENLEIN M,HENSELER J.An empirical comparison of the efficacy of covariance-based and variance-based SEM.InternationalJournalofResearchinMarketing,2009,26(4):332-344.

OrganizationControlandInformationSecurityPolicyCompliance:TheModeratingEffectofFaceOrientation

CHEN Hao，LI Wenli，CHEN Lirong

Faculty of Management and Economics, Dalian University of Technology, Dalian 116023, China

Intentional insiders′ misuse and abuse of information systems resources(i.e. confidential data, computer equipment) represent significant potential threats to organizational information security. Increasingly, corporations realize that technology-based solutions alone cannot reduce these information security risks. Thus it has become important to understand how to discipline and guide employees in their information security behaviors through effective managerial mechanism design.

From the behavioral perspective, this study introduces face orientation factors to the literature of Chinese employee′s information security behavior decision-making. Face(or Mianzi) is one type of relatively stable personality for Chinese people, and a significant number of people have face-saving related considerations. For example, they instinctively fear of face-losing and pleased to have face-gaining. It is this special rule relating to face that drives entrepreneurs to develop face management practices. Prior studies believed that face can be deemed as behavior-restraining mechanism, however, whether and how this mechanism work on information security management have not yet discussed.

Drawing upon deterrence theory, reward and face orientation theory, we develop a research model following the organizational control framework, to investigate the key roles of perceived reward and perceived punishment in affecting employee′s compliance with information security policies through formal or informal control mechanism. This research model deals with three important questions in employee′s ISPs compliance intention: ①The effectiveness of the reward and punishment mechanism; ②The effect of two kinds of face orientation on compliance intention; and ③The interaction effect between formal(reward and punishment) and informal mechanisms(face orientations).

Data were collected through a web-based survey. We delegated the processes of survey issuance and data collection to a professional data research firm. The data research firm randomly pushed the survey link to the employees who are regulated by their companies′ ISPs. After a three-week data collection period and necessary screening, 409 valid surveys were completed and used for further data analysis. The research model and hypotheses were tested using PLS-based structural equation modeling with Smart PLS 2.0.

The results show that both perceived reward and perceived punishment are strong determinants of ISPs compliance intention, whereas perceived reward shows a stronger effect than perceived punishment. We also find that face orientation affects employee′s ISPs compliance intention positively. Besides, this study uncovers that protective face orientation and acquisitive face orientation negatively moderate the relationship between formal control mechanism and ISPs compliance intention. These findings extend our understanding of information security management in Chinese context and provides academical and practical implications.

acquisitive face orientation；protective face orientation；information security behavioral management；organization control；punishment and reward

Date:December 19th, 2015

DateMay 5th, 2016

FundedProjectSupported by the National Natural Science Foundation of China(71272092,71431002)

Biography:CHEN Hao is a Ph.D candidate in the Faculty of Management and Economics at Dalian University of Technology. His research interests cover the information security management and behaviors. His representative paper titled “Understanding organization employee′s information security omission behavior: an integrated model of social norm and deterrence” was published in the 18thPacific Asia Conference on Information Systems(PACIS 2014). E-mail：ch9569@mail.dlut.edu.cn LI Wenli, doctor in engineering, is a professor in the Faculty of Management and Economics at Dalian University of Technology. His research interests include information security management, reputation and trust management in e-commerce. He is the principal investigator of the project titled “Research on participant′s reputation and trust in social commerce: mechanisms and trading decision” , funded by the National Natural Science Foundations of China(71431002). E-mail：wlli@dlut.edu.cn CHEN Lirong is a Ph.D candidate in the Faculty of Management and Economics at Dalian University of Technology. Her research interests cover e-commerce and information management, consumer behavior decision making. E-mail：lrchen10@126.com

C931.6

A

10.3969/j.issn.1672-0334.2016.03.001

1672-0334(2016)03-0001-12

2015-12-19修返日期2016-05-05

國(guó)家自然科學(xué)基金(71272092,71431002)

陳昊，大連理工大學(xué)管理與經(jīng)濟(jì)學(xué)部博士研究生，研究方向?yàn)樾畔踩芾砼c行為等，代表性學(xué)術(shù)成果為“Understanding organization employee′s information security omission behavior: an integrated model of social norm and deterrence”，發(fā)表在PACIS 2014，E-mail：ch9569@mail.dlut.edu.cn 李文立，工學(xué)博士，大連理工大學(xué)管理與經(jīng)濟(jì)學(xué)部教授，研究方向?yàn)樾畔踩芾?、電子商?wù)信譽(yù)和信任管理等，主持國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目“社會(huì)化商務(wù)中參與者的信譽(yù)和信任機(jī)理及交易決策研究”(71431002)，E-mail：wlli@dlut.edu.cn 陳立榮，大連理工大學(xué)管理與經(jīng)濟(jì)學(xué)部博士研究生，研究方向?yàn)殡娮由虅?wù)與信息管理、用戶行為決策等，E-mail：lrchen10@126.com